トップ  城の科学  陰暦  異表記外来語  チェス  和錠  中国紀行  ベトナム紀行  インド紀行  しごと  便利帳  リンク

トップ > しごと > 情報セキュリティマネジメント > + 今日の授業

情報セキュリティマネジメント A/B YeStudy

駒澤大学 経営学部(市略 2 選必)
講師: 吉田直樹

この授業では,大学の eラーニングシステム YeStudy を使って出席を確認したり,講師からの連絡をしたりします. スマフォに gmail アプリ をインストールしておくことを強く奨めます.

授業中は,ほかの人の迷惑にならない限り,何をしても構わない というのが私の受講者に対するポリシーです.

質問は YeStudy の Q&A で受け付けます.

授業では,文字の大きさを 150〜200% に拡大して提示しています.

授業で用いる資料と概説

予習として各項目を眺め,到達目標を読んでおくことを勧めます({回数} は前年度,{回数'} は前々年度,{回数''} は前々々年度の授業進度例です).欠席した場合にも,リンク先を読めば補えるでしょう.ただし,文章量が多いので,試験直前に全部を読むのは無理でしょう.授業中に,どこが重要か,どこに誤りがあるかを話します.

参照先の方々に: 利用させていただきありがとうございます.皆で似たような教材を作らず互いに利用しようというのが,教材についての私のポリシーです.私は,Wikipedia に書くことなどで貢献しているつもりです.私が作った教材でお役に立つものがあれば,自由にリンクなさってください.

Wikipedia 参照の適切性: 下記のリンク先には次第に Wikipedia の記事が多くなってきています.授業における Wikipedia 利用の適切性 を Wikipedia 上に書きました.

↓ 別ページが開く.

情報セキュリティ A

この色の枠の部分 の講義は簡単にしますが,試験範囲には入ります.きちんと自習してください.

+ 授業はここまで

0. ガイダンス

0.0 履修順序(戦略デザインコース)

0.1 自己紹介;  この Web ページへのたどり着き方

0.2 過去の授業評価知識の増加量 サンプル問題.pdf, 持込み

0.3 情報セキュリティ A の目標

0.4 参考書

0.5 情報セキュリティマネジメント試験, 試験区分, 過去問題

0.6 シラバスの説明,成績評価の方法

0.7 成績発表の方法 抜き打ちテスト

0.8 事前知識アンケート AYeStudy
2021 年度の 知識の増加量

0.9 昼食後に眠くならないようにするには {1} {1'} {1''}

到達目標: サンプル問題を見たことがあり,似た問題が出ることを知っている.情報処理技術者試験のどの分野の問題を参考にすればよいかを知っている. 授業の進行の概要と,成績評価の方法を知っている. 駒澤大学の学生データに対する教員の参照可能性を知っている.

1. 情報セキュリティリテラシー +

1.1 最近の話題となった事件

1.2 簡単!やさしいセキュリティ教室

14.3 SSL/TLSホモグラフ攻撃

到達目標: 電子署名法があることを知っている. 信頼できるメールの確認方法を知っている. 電子署名つきメールの確認要件3点が言える. ブラウザに鍵マークが現れた状態が何かを知っている.SSL/TLS の用途を知っている. 信頼できない Web ページの見分け方を知っている. フィッシングが説明できる. スパイウェアの挙動と感染経路を知っている.

1.3 事例と対策

1.3.1 ランサムウェア(身代金要求)の流行

1.3.2 システム障害

1.3.3 情報の漏洩と紛失

1.3.4 国家間のサイバー戦争

1.3.5 その他

興味のある人だけが読めばよい.

1.4 事例と対策についての議論

反転授業: 安心して対話するためのグランドルール

YeStudy のフォーラムでの議論(反転授業) {2} {2'} {2''}

到達目標: 個人情報漏洩事件・事故の例を見たことがあり,頻度の概数を知っている. 個人情報漏洩事件・事故の主要な原因を知っている. DDoS 攻撃の概要を知っている.

2. 情報セキュリティ

2.0 情報の資産価値情報の資産.pdf(p.34 まで)

2.1 セキュリティ

語源: secure (securely)security保安,保全. [2. ノート].pdf

2.2 情報セキュリティの定義と用語

定義: 情報セキュリティ … CIA の維持.

  参考(比較): コンピュータセキュリティネットワークセキュリティ

住宅火災可燃物質タバコ +昨晩の火事難燃物質, 禁煙
情報漏洩運搬置き忘れ先日の漏洩未遂暗号化, 禁帯出

課題 の一部:用語の説明 (課題授業) =

到達目標: 情報は資産の一つであり,資産価値があることを知っている. 情報資産の例をいくつか挙げることができる. リスク,脆弱性,脅威,インシデント,対抗策の定義を述べ,例を挙げて説明できる. 情報セキュリティの3要素を挙げ,その内容が説明できる. DDoS 攻撃の概要が説明できる. ボットウイルスの概要を知っている. 電子メールの脆弱性を知っている.

2.3 機密性と可用性のトレードオフ

機密性(C) と可用性(A) とが相反する例:

迷惑メール拒否・携帯編

2.4 パスワードへの攻撃

2.5 Web サイトへの攻撃

2.6 リスク管理

リスクアセスメント + ++
特定 → 分析 → 評価
リスク対応

2.7 歴史 孫子孫子に学ぶ情報セキュリティ

情報セキュリティマネジメントシステム ISMS(7. で詳述)の 国際規格{4'} {4''}

2.8 脆弱性の公開 …… 公開か/非公開か

脆弱性情報データベースゼロデイ攻撃Bugtraq
FeliCa は安全か 脆弱性を見つけたらどうすべきか? (脆弱性は公開すべきかの議論) 座席表 + {5'} {5''}

到達目標: 機密性と可用性のトレードオフを知っている. CAPTCHA の使用目的を知っている. パスワードに対する攻撃手法の概要を知っている. リスク管理の流れが説明できる. リスク管理の要素の概要が説明できる. リスク対応の4方針が説明できる. 情報管理の4手法を知っている. 世界と日本の情報セキュリティの歴史の概略を知っている. 脆弱性の公開についての経緯と現在の主流を知っている.

4. 組織の取組み

4.1 国の取組み

2003 国民のための情報セキュリティサイト(総務省),
2003 @police(警視庁),
2005 内閣サイバーセキュリティセンター (NISC)

1990 各種届出と対策情報処理推進機構 IPA)

4.2 民間の取組み

1996 JPCERT/CCCSIRT
1998 プライバシーマーク制度JIPDEC
2002 ISMS 適合性評価制度情報マネジメントシステム認定センター ISMS-AC)
2005 企業の情報セキュリティのあり方に関する提言経団連

4.3 各企業(組織)の取組み

情報セキュリティマネジメントシステム (ISMS) {7'}

4.4 国際規格 + +ISO/IEC 27000 シリーズ

国際規格の戦略的な利用.pdf, EUの国際規格化戦略 {7''}

到達目標: 国と民間の情報セキュリティに取り組んでいる組織の概要を知っている. 情報セキュリティインシデントが発生したときの届け先を知っている. プライバシーマークの意味と,その取得のしかたを知っている. 情報セキュリティマネジメントシステム (ISMS) の存在と,適合性評価制度のしくみを知っている. 日付の表記の国際規格を知っている. 国際標準化機構が発行した ISO/IEC 27000 シリーズを知っている.

5. プライバシー

5.0 盗聴: Street View

5.1 情報漏洩の現状: 情報流出, 一覧

2018 JNSA インシデント調査報告書 (2017, 16, 15, 14, 13, 12, 11, 10, 09, 08, 07)

5.2 法制化の起源: 1980 OECD プライバシー8原則, 原文, 個人情報 enquete_remarks

5.3 個人情報保護法 + EU-US プライバシーシールド +EU 指令 [5. ノート].pdf
個人情報保護法の詳細については,情報セキュリティ B で講義する.

5.4 個人情報の管理

本人の同意:オプトアウト Opt-out Opt-in
忘れられる権利(消去権) スマイリーキクチ中傷被害事件
積極的プライバシー権

5.5 個人情報保護マネジメントシステム (PMS)

PMS, JIS Q 15001, JIPDEC, Pマーク の 関係 {8'} {8''}

 対象  管理システム  認証基準  認定機関  使用許諾 
 個人情報 PMS JIS Q 15001 JIPDEC P マーク
 情報セキュリティ  ISMS ISO/IEC 27001 
 (= JIS Q 27001)
 ISMS-AC  IMS 認定シンボル 

到達目標: “積極的プライバシー権”の定義が説明できる. 情報漏洩事件・事故の多さを知っている. OECD のプライバシー 8 原則について,知見がある. 個人情報保護法における“個人情報”の定義が説明できる. 個人情報保護法,EU-US プライバシーシールド,EU 指令 の厳しさの違いを知っている. オプトアウト,オプトインについて,説明できる. 個人情報保護マネジメントシステムと,JIS Q 15001,プライバシーマーク の関係について説明できる.

6. 情報セキュリティポリシー (policy 語源)

6.1 最高情報セキュリティ責任者 (CISO), CIO, CSO

6.2 情報セキュリティポリシー(基本方針,対策基準),実施手順

ガイドライン(具体例)+ ++, PDCAサイクル
セキュリティポリシーの作成価格 (製作費=数百万円 < 数億円の損失)

6.3 社会的責任 (SR) からの要請

6.4 事業継続計画 (BCP) からの要請

ISO 22301 (BCMS) → JIS Q 22301規格票 + +, ++ {9'} {9''}

到達目標: CISO が果たす役割が説明できる. 情報セキュリティポリシーの構成と内容が説明できる. 社会的責任 (SR) の概要と,関連する ISO を知っている. 事業継続マネジメント (BCM) と事業継続計画 (BCP),および関連する ISO を知っている.

この仕組みは難しいので,注意して受講してください

7. 情報セキュリティマネジメントシステム (ISMS) + ++

ISMS とその認証のしくみ

概要.pdf情報セキュリティ対策ベンチマーク活用集』IPA, 2005, 付録2, p. 91 = 8 / 34):

P 確立(図付2.2) → D 導入・運用(図付2.6) → C 監視・レビュー図付2.7) → A 維持・改善(図付2.8) → PDCA... 

国際的な ISMS の認証基準

(0) ISO/IEC 27000 "Information security management systems — Overview and vocabulary"

(1) ISO/IEC 27001 "Information security management systems — Requirements"

(2) ISO/IEC 27002 "Code of practice for information security controls"

(3) ISO/IEC 27006 "Requirements for bodies providing audit and certification of information security management systems"

日本での ISMS の認証基準  日本産業規格  (翻訳)

(0') JIS Q 27000 “情報セキュリティマネジメントシステム — 用語” 規格票

(1') JIS Q 27001 “情報セキュリティマネジメントシステム — 要求事項” 規格票

(2') JIS Q 27002 “情報セキュリティ管理策の実践のための規範” 規格票

(3') JIS Q 27006 “情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項” 規格票

(*) 用語 “力量 (competence)”: 意図した結果を達成するために,知識及び技能を適用する能力.(JIS Q 27000, 3.9) {10'} {10''}

dot 日本産業規格/管理システム の一覧

(3') JIS Q 13335-1 “情報通信技術セキュリティのマネジメント — 第1部:情報通信技術のセキュリティマネジメントのための概念及びモデル”

dot セキュリティ技術 の一覧

(4') JIS X 5070-1 “セキュリティ技術 — 情報技術セキュリティの評価基準”

到達目標: 情報セキュリティマネジメントシステムの概要が説明できる. PDCA の各過程で具体的に何をすべきかを知っている. 各組織の ISMS と JIS Q 27001 との関係が説明できる.

8. 情報セキュリティ監査 +

試験範囲から除く

8.0 サイバー犯罪の特徴: 多い,速い,遠い,気付かない,匿名性 +

犯罪 = 犯意ある者 × 狙いやすい標的 × 監視者の不在
サイバー犯罪の現状 2021.pdf,

8.1 背景: 監査 +コンプライアンス (comply) +
SOX法, 日本版SOX法

内部統制, コーポレート・ガバナンス (govern)
情報セキュリティガバナンス (9.)
不作為の責任 → 説明責任 (accountability) [8. ノート].pdf

8.2 情報セキュリティ監査制度, 監査人

日本セキュリティ監査人協会 (JASA)
監査証拠時系列の証拠 = 監査証跡

8.3 コンピュータ・フォレンシクス + (forensics +)

文書 → バックアップ,記録 → アーカイブ
文書管理システム, 記録管理システム +, 踏み台

資料: [8. ノート].pdf担保する {11'} {10''}

到達目標: 監査証拠と監査証跡について説明できる. コンピュータ・フォレンシクスの概要が説明できる. ログ取得の三つの目的が説明できる. 文書と記録,バックアップとアーカイブの差が説明できる.

9. 情報セキュリティガバナンス

9.1 実際の組織の取組み

例: サイト利用規約, プライバシー・ポリシー (駒大: + +
   ISO 27001 認証取得大学, プライバシーマーク付与事業者;
情報セキュリティ格付;

9.2 日本版SOX法への対応 (2005), コンプライアンス事業;

9.3 情報セキュリティガバナンス (2009)情報セキュリティ報告書 F, R, 10

到達目標: 情報セキュリティガバナンスの定義を知っている. 情報セキュリティ報告書の作成が推奨されていたことを知っている. 情報セキュリティ報告書モデルの存在を知っている. 情報セキュリティ報告書を見たことがある.

10. 情報セキュリティ文化

10.1 従業者 + 教育必要性.pdf (PPT)現状 (標的型メール訓練 )

10.2 情報倫理 + 著作権侵害事件 {12'}

到達目標: 用語“情報セキュリティ文化”を知っている. 用語“従業者”が説明できる. 従業者教育の重要性を知っている. 情報倫理の重要性を知っている.

β. 符号

β.1 符号: データコード

β.2 文字符号ASCIIISO 646JIS X 0201
JIS漢字符号日本における漢字), 国際符号化文字集合 (UCS)

β.3 不等長符号 +モールス符号Gコード

β.4 誤り耐性:  検査数字 (チェックディジット=CD, ISBN),

ハミング距離誤り検出訂正

到達目標: ASCII, ISO 646, JIS X 0201 の関係と差異を知っている. JIS X 0208 と UNICODE, UCS との関係を知っている. 不等長符号があることを知っていて,例が挙げられる. チェックディジットの概要が説明できる. 誤り検出符号と誤り訂正符号の概要が説明できる.

dot 事後知識アンケート AYeStudy {13'} {12''}結果(旧)

成績発表

(学内向け)暗号化した成績の発表
掲載: 2021年7月23日

情報セキュリティ B

シラバス BKONECO

この色の枠の部分 の講義は簡単にしますが,試験範囲には入ります.きちんと自習してください.

B0. ガイダンス

B0.0 履修順序(戦略デザインコース) +

B0.1 自己紹介; この Web ページへのたどり着き方

B0.2 過去の授業評価知識の増加量 サンプル問題.pdf , 持込み

B0.3 情報セキュリティ B の目標

B0.4 参考書

B0.5 情報セキュリティマネジメント試験, 試験区分, 過去問題

B0.6 シラバスの説明, 成績評価の方法

B0.7 成績発表の方法暗号化した成績の発表(旧)抜き打ちテスト

B0.75 暗号技術の重要性 電子投票電子署名法

B0.8 事前知識アンケート BYeStudy
昨年度の 知識の増加量

B0.9 昼食後に眠くならないようにするには

2.3 機密性と可用性のトレードオフ (復習)

2.6 リスク管理 (復習)

+ IoT セキュリティ (吉岡「… IoT の衝撃的現状…」
+ IT業界クイズ2022(セキュリティ:  問題 1, 3) {1} {1''}

到達目標: 授業の進行の概要と,成績評価の方法を知っている.

11. 法律による保護

+ 成文法権利の導入:(江戸時代)利他的な行動による協調 →(現代)自己の権利の主張自己負罪拒否特権憲法38条

11.0 条文の読み方: 及び・並びに / 又は・若しくは + +
法律におけるIT用語(後半)前半

11.1 情報セキュリティに関する国内法規(総覧), 未遂

ネットワーク社会の情報倫理(第6章 前編.ppt 後編.ppt
コンピュータ犯罪の概要 (古い)

11.2 刑法 全文 抜粋解説

第234条の二(電子計算機損壊等業務妨害), 第246条の二(電子計算機使用詐欺), 第161条の二電磁的記録 不正作出及び供用), 第163条の二〜五(支払用カード電磁的記録不正作出等,不正電磁的記録カード所持,支払用カード電磁的記録不正作出準備,未遂罪), 第168条の二,三不正指令電磁的記録作成等第258条(公用文書等毀棄),第259条(私用文書等毀棄)
サイバー刑法

11.3 不正アクセス禁止法

11.4 個人情報保護法 2020 改正

11.5 著作権法 全文, 学校での複製, 保護期間 +), 問題 +

+ オープンソースソフトウェアのライセンスGFDL, 比較 + {2''}

11.6 サイバーセキュリティ基本法

11.7 その他 関連する主な法律(電波法など+事例) {2} {2'}

到達目標: 公用文において“及び・並びに / 又は・若しくは”の使い分けがあることを知っている. 情報セキュリティに関連する主要な 4 つの法規の名称を示すことができ,それらの概要が説明でき,簡単な事例の違法性が判断できる. それら以外の法律を 2 つ以上挙げることができる. 日本における著作権の保護期間を具体例を用いて正確に示すことができる. OSS のライセンス方式と内容について,基本的な事項(共通部分+α)を理解している.

12. アクセス制御access, 物理的,コンピュータ,ネットワーク)

12.0 物理的統制: 警備員,ID カード, 虹彩認識 +

  判   定 備   考
受入 拒否


本人 本人拒否率
(第種の誤り)
本人拒否率 =
FRR (False Rejection Rate)
他人 他人受入率
(第種の誤り)
他人受入率 +
FAR (False Acceptance Rate)

本人拒否率 と 他人受入率 をともにゼロにすることはできない. (類似: 抜取り検査

12.1 技術的統制: アクセス制御 ∋ パスワード,ファイアウォール,暗号 など.

12.2 アクセス制御行列(図1)

どの能動体 (subject) から,どの受動体 (object) への,
どのアクセス(読み/書き/実行)が許可されているか.

アクセス制御リスト, +, パーミッション , + {3'} {3''}

+ ファイル属性の変更の実習FFFTP による)
  + 実習用ページ学内用{4'} {4''}

12.3 アクセス制御の代表的な 3 方式(任意,強制,ロールベース) +

到達目標: 物理的なアクセス制御方式の代表例を知っている. アクセス制御行列の概念が説明できる. アクセス制御リストの方式と機能が説明できる. 用語“ファイルパーミッション”を知っている. アクセス制御の 3 方式(任意,強制,ロールベース)が説明できる.

13. 暗号 - 概要

13.0 情報機関 (intelligence): HUMINT / SIGINT (ECHELON, PRISM)
アメリカ国家安全保障局 (NSA) が世界35カ国の首脳の通話を傍受 + スノーデンによる暴露 + ++
+ アフガニスタンで銃撃され中村哲医師死亡 + +

13.1 暗号の価値: 解読事実の秘匿 Enigma コヴェントリー爆撃 +

13.2 暗号とは 暗号理論,暗号 (cryptosystem)
暗号系と用語 図1 図2 クリプトン 概要1 概要2 {5'}

13.4.4 暗号技術を使ってできること(再掲: 概要 5.) {6} {5''}

到達目標: 世界の諜報機関の現状の概要を知っている. 暗号の定義を知っている. 暗号系の基本的な用語が説明できる. 暗号解読の 3 段階の状況が説明できる. 暗号解読の成功を秘匿した例をいくつか知っている. 暗号技術を使って実現できることが 3 つ以上,例を挙げて説明できる.

13.3 共通鍵暗号

13.3.0 共通鍵暗号
暗号を用いている小説

13.3.1 換え字式暗号 {6''}
(1) 単換え字式暗号: “踊る人形の解読 ("The Cuckoo" ). {7} {7'} {7''} {8''}
(2) 多表式暗号 ≒ 複数の単換え字式暗号を周期的に用いる.
  ビジュネル暗号 機械式暗号パープル暗号
(3) ビット単位の多表式暗号 → バーナム暗号 +
(4) 綴り字換え字式暗号 → Playfair 暗号

13.3.2 転置式暗号 (← 導入: アナグラム), 置換による表記 {8'} {9''}

13.3.3 暗号解読
(0) 鍵の総数: 階乗 n ! , 2n n ! > 2n
(1) 単換え字式暗号の解読(文字頻度)
(2) 多表式暗号の解読(周期)
(3) 転置式暗号の解読(連接確率)日本における漢字
(4) 解読不可能な暗号実例
(5) 暗号解読技術の利用 ロゼッタ・ストーンの解読, +, ) 外国語

13.3.4 ブロック暗号
利用モード 動画 0:39 ECB - 2:11 CBC - 4:01
ストリーム暗号 線形帰還シフトレジスタ LFSR +

13.3.5 AES (Rijndael) … 現代的な共通鍵暗号
[13章前半のノート].pdf + {9'} {10''}

到達目標: 共通鍵暗号系の概念が説明できる. 単換え字式暗号が,例を挙げて説明できる. 多表式暗号を知っている. 転置式暗号が,例を挙げて説明できる. 具体的な古典的暗号を,(1)単換え字式暗号,(2)多表式暗号,(3)転置式暗号 に分類することができる. (1) と (3) とブロック暗号に属する各暗号方式の鍵の総数が示せる. (1), (2), (3) の暗号化と復号のしかた,および解読のしかたを知っている. ビット演算 XOR(ビットごとの排他的論理和)ができる. 解読不可能な暗号が,例を挙げて説明できる. ブロック暗号の利用モードのうち,ECB, CBC, OFB を知っている. AES の外部仕様(データと鍵のビット数)が説明できる.

13.4 公開鍵暗号

+ 量子コンピューターの開発に成功! + + +.

原論文: Frank Arute, Kunal Arya, […] John M. Martinis, "Quantum supremacy using a programmable superconducting processor," Nature, vol. 574, pp. 505–510 (2019).
専門家の意見.

13.4.0 公開鍵暗号
  公開鍵と秘密鍵との使い分け
  鍵の必要数

13.4.1 剰余演算 {10'} {11''} べき剰余フェルマーの小定理

13.4.2 RSA方式 {8} {11'} {12''} べき乗算の高速化+

13.4.3 認証 (Authentication): 署名花押歴代首相の花押),
   電子署名印鑑証明と電子署名+ 署名つきの暗号文.ppt

13.4.4 暗号技術を使ってできること概要 5.

13.4.5 ハッシュ関数
[13.4 のノート].pdf 情報処理技術者試験での出題 {12'} {13''}

13.5 一方向性関数

13.6 量子暗号 + 量子情報

到達目標: 公開鍵暗号系の概念が説明できる. 剰余演算での加算と乗算と累乗ができる. RSA 方式の概n要が説明できる. 公開鍵認証系の概念が説明でき,何が実現できるかが示せる. 秘匿と認証において,誰のどの鍵を使うかが区別できる. 署名つきの暗号文の作り方を知っている. 暗号技術を使ってできることの例をいくつか知っている. ハッシュ関数の概要を知っている. 一方向性関数の概念を知っている. 量子暗号を知っている.

14. 暗号プロトコル

14.1 チャレンジ応答プロトコル

14.2 デジタル通貨暗号通貨ビットコイン +

14.3 SSL/TLS {13'}

到達目標: 暗号プロトコルのいくつかを知っている. チャレンジ応答プロトコルの目的と概要を知っている. デジタル通貨の概要を知っている. TLS の概要を知っている.

15. 情報セキュリティ基盤

15.1 公開鍵基盤 (PKI), 認証局 (CA)

公開鍵の認証 +

15.2 情報セキュリティサービス, 登録制度 {14'} {14''}

到達目標: 公開鍵基盤の概要を知っている. 認証局の機能が説明できる. 情報セキュリティサービスのいくつかを知っている.

+ 事後知識アンケート BYeStudy結果

16. 情報セキュリティ評価基準 (Common Criteria)

16.1 JIS X 5070-1 (ISO/IEC 15408-1) “セキュリティ技術 — 情報技術セキュリティの評価基準”

16.2 認証製品リスト +

到達目標: 情報セキュリティ評価基準の概要を知っている. Common Criteria という単語を憶えている.

成績発表

(学内向け)暗号化した成績の発表
掲載: 2022年01月26日
Valid HTML 4.01! Valid CSS!
back ひとつ戻る
Banner 西村和夫のページ に行く
2023 昨年度のページ
NISHIMURA, Kazuo nishimura@komazawa-u.ac.jp
Kazuo nishimura@komazawa-u.ac.jp